サーバー送信スパム?
クライアント用のウェブサイトとメールアカウントをホストするサーバーがいくつかあります。
今日、サーバーの1つに非常に大きな負荷がかかっていることがわかりました。メールログを見ると、奇妙なメールアドレスに多くの送信が行われています。サーバーからスパムを送信しているようです。しかし、送信アカウントが誰であるかがわかりませんでした。
そのアカウントを閉鎖できるように、送信者を見つけるにはどうすればよいですか?
キュー内の送信メールの1つの例を次に示します。
[root @ server11 mqueue] #cat qfp96I9K1r020960
V8
T1317924562
K1318068176
N27
P3934747
I9 /3/119387
MDeferred
Fws
$_ localhost [127.0.0.1]
$ rSMTP
$ sUser
$ {daemon_flags }
$ {if_addr} 127.0.0.1
S
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
MDeferred
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
MDeferred
rRFC822; [email protected]
RPFD:
H?P?Return-Path:
H ?? Received:from User(localhost [127.0.0.1])
[サーバー名](8.13.1/8.13.1)、SMTP ID p96I9K1r020960;
2011年10月7日金曜日05:09:22 + 1100
H?M?Message-Id:
H ?? From: "Match.com"
H ?? Subject:Your Match Account Has Holded-Re-Connect Now
H ?? Date:Thu、6 Oct 2011 11:12:59 -0700
H ?? MIME-Version:1.0
H ?? Content-Type:text/html;
charset = "Windows-1251"
H ?? Content-Transfer-Encoding:7bit
H ?? X-Priority:3
H ?? X-MSMail-Priority:Normal
H ?? X -メーラー:Microsoft Outlook Express 6.00.2600.0000
H ?? X-MimeOLE:Microsoft MimeOLE V6.00.2600.0000
によって作成されました。アップデート1:
/ var/pool/mqueueフォルダーをクリーンアップすると、すぐに新しいスパムメールでいっぱいになります。 sendmailサービスを再開すると、スパムメールでいっぱいになるのをやめましたが、数時間後に戻ってきます。これは何を示していますか?ありがとう。
アプリケーションの設定方法によっては、サーバー上で実行中のすべてのプロセスを調べて、どのユーザーアカウントがCPUを占有しているかを確認することで、問題のあるユーザーアカウントを確認できる場合があります。このようなもの:
ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
うまくいけば、それは既知の特権を悪用するユーザースペースプロセスと同じくらい単純であり、ワイプして再構築する必要があるルート化されたボックスのようなものではありません。火炎放射器の準備をします。